Übersicht und Unterschiede von Active Directory, LDAP, Kerberos, RADIUS und NTLM

1. Einführung

In der Welt der IT-Sicherheit und Netzwerkadministration gibt es zahlreiche Technologien, die sich mit Authentifizierung und Zugriffskontrolle befassen. Diese können schnell verwirrend sein, da sie oft miteinander interagieren oder ähnliche Ziele verfolgen. Dieser Beitrag bietet einen klaren Überblick über Active Directory (AD), LDAP, Kerberos, RADIUS und NTLM und erklärt, wie sie zusammenarbeiten.

2. Wer macht was?

Active Directory (AD): Eine zentrale Datenbank, die Informationen über Benutzer und Geräte in einem Netzwerk speichert.
LDAP (Lightweight Directory Access Protocol): Ein Protokoll zum Abfragen und Ändern von Verzeichniseinträgen, z.B. in AD.
Kerberos: Ein Authentifizierungsprotokoll, das sichere Anmeldungen und Single Sign-On (SSO) ermöglicht.
RADIUS (Remote Authentication Dial-In User Service): Ein Netzwerkprotokoll zur Authentifizierung, Autorisierung und Accounting bei Netzwerkzugriffen.
NTLM (NT LAN Manager): Ein veraltetes Authentifizierungsprotokoll für Windows-Netzwerke, Vorgänger von Kerberos.

3. Wie arbeiten diese Technologien zusammen?

📌 Beispiel 1: Anmeldung am Windows-PC

Benutzereingabe: Der Benutzer gibt seinen Benutzernamen und sein Passwort ein.
Passwortüberprüfung: Der Windows-PC verwendet Kerberos, um bei Active Directory zu prüfen, ob das Passwort korrekt ist.
Kerberos-Ticket: AD stellt ein Kerberos-Ticket aus, das die erfolgreiche Authentifizierung bescheinigt.
Single Sign-On: Mit diesem Ticket kann sich der Benutzer an anderen Diensten anmelden, ohne das Passwort erneut eingeben zu müssen.

➡ Hier dient AD als Benutzerdatenbank, und Kerberos wird für die sichere Authentifizierung genutzt.

📌 Beispiel 2: WLAN-Anmeldung mit WPA2-Enterprise

Verbindungsaufbau: Der Benutzer verbindet sich mit dem WLAN und gibt seine AD-Zugangsdaten ein.
Anfrage an RADIUS: Der Access Point leitet die Authentifizierungsanfrage an den RADIUS-Server weiter.
Prüfung bei AD: Der RADIUS-Server überprüft die Zugangsdaten, indem er AD kontaktiert:
- Über LDAP: Zum Nachschlagen des Benutzers.
- Oder Kerberos/NTLM: Zur Verifizierung des Passworts.
Zugang gewähren: Bei erfolgreicher Authentifizierung erlaubt der RADIUS-Server den WLAN-Zugriff.

➡ RADIUS nutzt AD als Datenquelle und greift über LDAP oder Kerberos darauf zu.

📌 Beispiel 3: Programmatische Abfrage von Benutzerdaten

Anfragebedarf: Ein IT-Tool benötigt eine Liste aller Benutzer im Netzwerk.
LDAP-Abfrage: Das Programm sendet eine LDAP-Abfrage an AD:
```
cn=Benutzer,dc=meinunternehmen,dc=com
```
Datenrückgabe: AD liefert die angeforderte Benutzerliste zurück.

➡ LDAP wird hier verwendet, um Benutzerdaten aus AD auszulesen, ohne eine Authentifizierung durchzuführen.

4. Wann wird was benutzt?

Active Directory (AD): Als zentrale Datenbank für Benutzer- und Gerätedaten in Windows-Netzwerken.
LDAP: Zum Abfragen und Ändern von Informationen in Verzeichnisdiensten wie AD.
Kerberos: Für sichere Authentifizierung und SSO in lokalen und Netzwerkumgebungen.
RADIUS: Bei Netzwerkzugriffen wie WLAN oder VPN zur Authentifizierung und Autorisierung.
NTLM: In älteren Systemen oder als Fallback, wenn Kerberos nicht verfügbar ist.

5. Fazit: Wie hängt alles zusammen?

Active Directory (AD) ist der zentrale Speicherort für Benutzer und Geräte.
LDAP dient zum Abfragen von Informationen aus AD, jedoch nicht zur Passwortüberprüfung.
Kerberos ermöglicht sichere Authentifizierung und Single Sign-On.
RADIUS prüft Netzwerk-Anmeldungen und kommuniziert mit AD über LDAP oder Kerberos.
NTLM ist eine ältere Authentifizierungsmethode und wird selten noch verwendet.

Denkanstoß

AD = Speicherort für Benutzer und Geräte.
LDAP = Werkzeug zum Abfragen von Informationen aus AD.
Kerberos = Sicheres Authentifizierungsprotokoll mit SSO-Fähigkeiten.
RADIUS = Authentifiziert Netzwerkzugriffe unter Nutzung von AD.
NTLM = Veraltetes Authentifizierungsprotokoll, ersetzt durch Kerberos.

💭 Jeremys Brain

Explorer

vergleich-ad-ldap-kerberos-radius-ntlm